○大空町行政情報セキュリティ要領(大空町情報セキュリティポリシー)
平成18年3月31日
要領第4号
目次
序 大空町行政情報セキュリティ要領の構成
第1章 情報セキュリティ基本方針
1 目的
2 定義
(1) ネットワーク
(2) 情報システム
(3) 情報資産
(4) 情報セキュリティ
3 行政情報セキュリティポリシーの位置付けと職員等及び外部委託事業者の義務
4 情報セキュリティ管理体制
5 情報資産の分類
6 情報資産への脅威
7 情報セキュリティ対策
(1) 物理的セキュリティ対策
(2) 人的セキュリティ対策
(3) 技術及び運用におけるセキュリティ対策
8 情報セキュリティ対策基準の策定
9 情報セキュリティ実施手順の策定
10 情報セキュリティ監査の実施
11 評価及び見直しの実施
第2章 大空町行政全般における情報セキュリティ対策基準
1 対象範囲
2 組織・体制
3 情報資産の分類と管理
(1) 情報資産の管理責任
(2) 情報資産の分類と管理方法
4 物理的セキュリティ
(1) サーバ等
(2) 管理区域
(3) ネットワーク
(4) 職員等の端末等
5 人的セキュリティ
(1) 役割・責任
(2) 教育・訓練
(3) 事故、欠陥に対する報告
(4) アクセスのための認証情報及びパスワードの管理
6 技術的セキュリティ
(1) ネットワーク、情報システム及び情報資産の管理
(2) ネットワーク及び情報システムを使用する際の規定
(3) アクセス制御
(4) システム開発、導入、保守等
(5) コンピュータウイルス・スパイウエアー対策
(6) 不正アクセス対策
(7) セキュリティ情報の収集
7 運用
(1) 情報システムの監視
(2) 情報セキュリティポリシーの遵守状況の確認
(3) 運用管理における留意点
(4) 侵害時の対応
8 法令遵守
9 情報セキュリティに関する違反に対する対応
10 評価・見直し
(1) 監査
(2) 点検
(3) 情報セキュリティポリシーの更新
序 大空町行政情報セキュリティ要領の構成
情報セキュリティ要領(以下「情報セキュリティポリシー」という。)とは、大空町が所掌する情報資産に関する情報セキュリティ対策について、総合的、体系的、かつ、具体的に取りまとめたものを総称する。情報セキュリティポリシーは、大空町が所掌する情報資産に関する業務に携わる全職員、非常勤、会計年度任用職員等(以下「職員等」という。)及び外部委託事業者に浸透、普及、定着させるものであり、安定的な規範であることが要請される。しかしながら一方では、技術の進歩等に伴う情報セキュリティを取り巻く急速な状況の変化へ柔軟に対応することも必要である。
このようなことから、情報セキュリティポリシーを一定の普遍性を備えた部分(基本方針)と情報資産を取り巻く状況の変化に依存する部分(対策基準)に分けて策定することとした。
具体的には、情報セキュリティポリシーを、
①情報セキュリティ基本方針
②情報セキュリティ対策基準
の2階層に分け、それぞれを策定することとする。また、情報セキュリティポリシーに基づき、情報システムごとの具体的な情報セキュリティ対策の実施手順として情報セキュリティ実施手順を策定することとする(下表参照)。
情報セキュリティポリシーの構成
文書名 | 内容 | |
情報セキュリティポリシー | 情報セキュリティ基本方針 | 情報セキュリティ対策に関する統一的かつ基本的な方針 |
情報セキュリティ対策基準 | 情報セキュリティ基本方針を実行に移すためのすべてのネットワーク及び情報システムに共通の情報セキュリティ対策の基準 | |
情報セキュリティ実施手順 | ネットワーク及び情報システムごとに定める情報セキュリティ対策基準に基づいた具体的な実施手順 | |
第1章 情報セキュリティ基本方針
1 目的
大空町の各情報システムが取り扱う情報には、個人情報のみならず行政運営上重要な情報など、外部への漏洩等が発生した場合には極めて重大な結果を招く情報が多数含まれている。
したがって、情報資産及び情報資産を取り扱うネットワーク及び情報システムを様々な脅威から防御することは、町民の財産、プライバシー等を守るためにも、また、事務の安定的な運営のためにも必要不可欠である。ひいては、このことが大空町に対する町民からの信頼の維持向上に寄与するものである。
また、近年のいわゆるIT革命の進展により、電子商取引の発展や電子自治体の構築が現実のものとなっている。大空町が電子自治体を構築するためには、すべてのネットワーク及び情報システムが高度な安全性を有することが不可欠な前提条件である。
そのため、大空町の情報資産の機密性、完全性及び可用性(注)を維持するための対策(情報セキュリティ対策)を整備するために情報セキュリティポリシーを定めることとし、このうち、情報セキュリティ基本方針については大空町の情報セキュリティ対策の基本的な方針として、情報セキュリティポリシーの対象、位置付け等を定めるものとする。
(注):国際標準化機構(ISO)が定めるもの(ISO7498―2:1989)
機密性(confidentiality):情報にアクセスすることが認可された者だけがアクセスできることを確実にすること。
完全性(integrity):情報及び処理の方法の正確さ及び完全である状態を安全防護すること。
可用性(availability):許可された利用者が必要なときに情報にアクセスできることを確実にすること。
2 定義
(1) ネットワーク
大空町における各部局、各行政委員会、網走地区消防組合大空消防署及び各教育機関を相互に接続するための通信網、その構成機器(ハードウエア及びソフトウエア)及び記録媒体で構成され、処理を行う仕組みをいう。
(2) 情報システム
業務系の電子計算機(業務系におけるネットワーク、ハードウェア及びソフトウェア)及び記録媒体で構成され、処理を行う仕組みをいう。
(3) 情報資産
ネットワーク及び情報システムの開発と運用に係るすべての情報並びにネットワーク及び情報システムで取り扱うすべての情報をいう。
なお、情報資産には紙等の有体物に出力された情報も含むものとする。
(4) 情報セキュリティ
情報資産の機密の保持及び正確性、完全性の維持並びに定められた範囲での利用可能な状態を維持することをいう。
3 情報セキュリティポリシーの位置付けと職員等及び外部委託事業者の義務
情報セキュリティポリシーは、大空町が所掌する情報資産に関する情報セキュリティ対策について、総合的、体系的かつ具体的に取りまとめたものであり、情報セキュリティ対策の頂点に位置するものである。
したがって、大空町長をはじめとして大空町が所掌する情報資産に関する業務に携わるすべての職員等及び外部委託事業者は、情報セキュリティの重要性について共通の認識をもつとともに業務の遂行に当たって情報セキュリティポリシーを遵守する義務を負うものとする。
4 情報セキュリティ管理体制
大空町の情報資産について、幹部が率先して情報セキュリティ対策を推進・管理するための体制を確立するものとする。
5 情報資産の分類
情報資産をその内容に応じて分類【第2章3―(2)】し、その重要度に応じた情報セキュリティ対策を行うものとする。
6 情報資産への脅威
情報セキュリティポリシーを策定する上で、情報資産を脅かす脅威の発生度合や発生した場合の影響を考慮すると、特に認識すべき脅威は以下のとおりである。
(1) 部外者の侵入による機器又は情報資産の破壊・盗難、故意の不正アクセス又は不正操作による機器又は情報資産の破壊・盗聴・改ざん・消去等
(2) 職員等又は外部委託事業者による機器又は情報資産の持出、誤操作、アクセスのための認証情報又はパスワードの不適切管理、故意の不正アクセス又は不正行為による破壊・盗聴・改ざん・消去等、搬送中の事故等による機器又は情報資産の盗難、規定外の端末接続によるデータ漏洩等
(3) コンピュータウイルス、地震、落雷、火災等の災害並びに事故、故障等によるサービス及び業務の停止
7 情報セキュリティ対策
上記6で示した脅威から情報資産を保護するために、以下の情報セキュリティ対策を講ずるものとする。
(1) 物理的セキュリティ対策
情報システムを設置する施設への不正な立入り、情報資産への損傷・妨害等から保護するために物理的な対策を講ずる。【第2章4―(1)】
(2) 人的セキュリティ対策
情報セキュリティに関する権限や責任を定め、すべての職員等及び外部委託事業者に情報セキュリティポリシーの内容を周知徹底する等、十分な教育及び啓発が講じられるように必要な対策を講ずる。【第2章5―(2)】
(3) 技術及び運用におけるセキュリティ対策
情報資産を外部からの不正なアクセス等から適切に保護するため、情報資産へのアクセス制御、ネットワーク管理等の技術面の対策、また、システム開発等の外部委託、ネットワークの監視、情報セキュリティポリシーの遵守状況の確認等の運用面の対策を講ずる。
また、緊急事態が発生した際に迅速な対応を可能とするための危機管理対策を講ずる。
8 情報セキュリティ対策基準の策定
大空町の様々な情報資産について、上記7の情報セキュリティ対策を講ずるに当たっては、遵守すべき行為及び判断等の基準を統一的なレベルで定める必要がある。そのため、情報セキュリティ対策を行う上で必要となる基本的な要件を明記した情報セキュリティ対策基準を策定するものとする。
9 情報セキュリティ実施手順の策定
情報セキュリティ対策基準を遵守して情報セキュリティ対策を実施するために、個々の情報資産の対策手順等をそれぞれ定めていく必要がある。そのため、情報資産に対する脅威及び情報資産の重要度に対応する情報セキュリティ対策基準の基本的な要件に基づき、各課等が所掌する情報資産の情報セキュリティ実施手順を策定するものとする。
なお、情報セキュリティポリシー(情報セキュリティ対策基準)及び情報セキュリティ実施手順は、公にすることにより大空町の行政運営に重大な支障を及ぼすおそれのある情報資産であることから非公開とする。
10 情報セキュリティ監査の実施
情報セキュリティポリシーが遵守されていることを検証するため庁内OA専門委員会は、定期的に監査を実施する。
11 評価及び見直しの実施
情報セキュリティ監査の結果等により、情報セキュリティポリシーに定める事項及び情報セキュリティ対策の評価を実施するとともに、情報セキュリティを取り巻く状況の変化に対応するために、情報セキュリティポリシーの見直しを実施する。
第2章 大空町行政全般における情報セキュリティ対策基準
大空町行政全般における情報セキュリティ対策基準とは、情報セキュリティ基本方針を実行に移すための大空町行政全般の情報資産に関する情報セキュリティ対策の基準である。
1 対象範囲
この情報セキュリティポリシーが対象とする行政機関の範囲は、各部局、各行政委員会、網走地区消防組合大空消防署、各教育機関及び議会事務局とする。
なお、各教育機関における教育のために用いるネットワーク及びシステム等は、この情報セキュリティポリシーの対象となるネットワーク及び情報システムと物理的に分けなければならない。
2 組織・体制
大空町の情報セキュリティ管理については、以下の組織・体制とする。
・最高情報統括責任者(CIO) 副町長
・ネットワーク管理者 総務課長
・統括情報セキュリティ担当者 総務課長
・情報セキュリティ担当者 各課長・室長・事務局長・所長・館長・事務長・署長・監査委員
・情報システム管理者 各システム担当課長・室長・事務局長・所長・館長・事務長・署長・監査委員
・情報システム担当者 各システム担当係長
・庁内OA専門委員会 副町長の指名による
3 情報資産の分類と管理
(1) 情報資産の管理責任
ア 管理責任
情報資産は、当該情報資産を作成した各課等の情報管理責任者が管理責任を有する。
イ 利用者の責任
情報資産を利用する者は、情報資産の分類に従い利用する責任を有する。
ウ 重要性の効力
情報資産が複製又は伝送された場合には、当該複製等も分類に基づき管理しなければならない。
(2) 情報資産の分類と管理方法
ア 情報資産の分類
対象となるネットワーク及び情報システムの情報資産は、各々の情報資産の機密性、完全性及び可用性を踏まえ、次の重要性分類に従って分類する。
重要性分類 |
Ⅰ 個人情報及びセキュリティ侵害が大空町民の生命、財産等へ重大な影響を及ぼす情報 Ⅱ 公開することを予定していない情報及びセキュリティ侵害が行政事務の執行等に重大な影響を及ぼす情報 Ⅲ 外部に公開する情報のうち、セキュリティ侵害が、行政事務の執行等に軽微な影響を及ぼす情報 Ⅳ 上記以外の情報 |
イ 情報資産の管理方法
(ア) 情報資産の分類の表示
・情報システムで扱う情報資産について、第三者が重要性の識別を容易に認識できないように留意しつつ、印刷、ディスプレイ等への表示、記録媒体等に格納する際の媒体
(FDへのラベル等)について、ファイル名、記録媒体等に情報資産の分類が分かるように表示をする等適切な管理を行わなければならない。
(イ) 情報資産の管理
・情報資産の分類に従い、アクセス権限を定めなければならない。
・職員等は、情報資産の複製を保管場所へ移動する場合、当該保管場所からバックアップのために情報システムの設置個所に戻す場合及び業務上必要な場合には、最高情報統括責任者の許可を得た上で外部への持出又は送付をしなければならない。
(ウ) 記録媒体の管理
・取出しが可能な記録媒体は、適切な管理を行わなければならない。
・最終的に確定した情報資産を記録した記録媒体は、書込禁止措置を行った上で保管しなければならない。
(エ) 情報資産の変更又は廃棄の管理
・記録媒体が不要となった場合は、当該媒体に含まれる重要な情報資産(重要性分類Ⅱ以上)は、記録媒体の初期化など情報資産を復元できないように消去を行った上で廃棄しなければならない。
・重要な情報資産(重要性分類Ⅱ以上)を記録した記録媒体の廃棄は、情報セキュリティ担当者の許可を得ることとし、行った処理について、日時、担当者及び処理内容を記録し情報セキュリティ担当者に報告なければならない。
4 物理的セキュリティ
(1) サーバ等
ア 装置の取付け等
(ア) ネットワーク及び情報システムの取付けを行う場合は、火災、水害、埃、振動、温度、湿度等の影響を可能な限り排除した場所に設置し、容易に取り外せないよう適切な固定等必要な措置を施さなければならない。
(イ) 次のサーバはRAID5で構築し常に同一データを保持し、メインサーバに障害が発生した場合には速やかにセカンダリサーバに移行させ、システムの運用が停止しないようにしなければならない。
・重要な情報資産(重要性分類Ⅱ以上)を格納しているサーバ
・セキュリティサーバ
・住民サービスに関するサーバ
・その他の基幹サーバ
(ウ) ネットワーク管理者、情報システム管理者、情報システム担当者及び契約により操作を認められた外部委託事業者以外の者が容易に操作できないように、利用者のID、パスワードの設定等の措置を施さなければならない。パスワードは可能な限り複雑なものにしなければならない。また、パスワードの再利用は禁止する。
(エ) サーバ等の取付けに当たっては、配線等から放射される電磁波により重要な情報資産(重要性分類Ⅱ以上)が外部に漏洩することがないよう措置しなければならない。
(オ) 無線LANの導入に当たっては、重要性分類Ⅱ以上の情報資産を送信する際には、十分な漏洩防止策を実施しなければならない。
イ 電源
(ア) サーバ等の機器の電源については、当該機器を適切に停止するまでの間に十分な電力を供給する容量の予備電源を備え付けなければならない。
(イ) 落雷等による過電流に対してサーバ等の機器を保護するための措置を施さなければならない。
ウ 配線
(ア) 配線は、傍受又は損傷等を受けることがないように可能な限り必要な措置を施さなければならない。
(イ) 主要な箇所の配線については、損傷等についての定期的な点検を行わなければならない。
(ウ) ネットワーク接続口(ハブのポート等)は、他の者が容易に発見できない場所に設置しなければならない。
(エ) ネットワーク管理者、情報システム管理者、情報システム担当者及び契約により操作を認められた外部委託事業者以外の者が配線を変更、追加できないように必要な措置を施さなければならない。
エ 外部に設置する装置
(ア) 外部に設置する装置は、最高情報統括責任者の承認を受けたものでなければならない。
また、最高情報統括責任者は、定期的に当該装置の情報セキュリティの水準について確認しなければならない。
(2) 管理区域
ア 管理区域
(ア) ネットワークの基幹機器及び重要な情報システムを設置し、当該機器等又は重要性分類Ⅱ以上の情報資産の管理並びに運用を行うための部屋(以下「管理区域」という。)は、水害対策及び確実な入退室管理を行うために、地階又は1階に設けてはならない。また、外部からの侵入が容易にできないように無窓の外壁等に囲まれた管理区域としなければならない。
(イ) 管理区域から外部に通ずるドアは1箇所のみとし、許可されていない者の立入りを防止しなければならない。
(ウ) 管理区域内の機器類は、耐震対策を講じた場所に設置するとともに、防火措置等を施さなければならない。なお、管理区域内の機器類の配置は、緊急時に職員等が円滑に避難できるように配慮しなければならない。
イ 管理区域の入退室管理
(ア) 管理区域レベル1区分の入退室は許可された者のみとし、入退室管理簿の記載を行い、外部委託事業者は顔写真付きの身分証明書等を携帯し、求めにより提示しなければならない。
(イ) 管理区域レベル1区分に係る鍵の管理は、総務課担当主査又は総合支所地域振興課担当主査が行うこととする。
レベル区分 | 管理区域 |
レベル区分1 | ①大空町役場電算室【庁舎3階】 ②東藻琴総合支所電算室【庁舎2階】 |
レベル区分2 | 業務端末の設置場所 |
ウ 機器等の搬入場所
(ア) 管理区域へ機器等を搬入する場合は、あらかじめ当該機器等の既存情報システムに対する安全性について、職員による確認を行わなければならない。
(イ) 機器等の搬入には職員が同行する等の必要な措置を施さなければならない。
(3) ネットワーク
(ア) 外部へのネットワーク接続は必要最低限のものに限定し、できる限り接続ポイントを減らなければならない。
(イ) 特に行政系のネットワークは総合行政ネットワークに集約するように努めなければならない。
(ウ) ネットワークに使用する回線は、伝送途上において破壊、盗聴、改ざん、消去等が生じないように十分なセキュリティ対策が実施されたものでなければならない。
(4) 職員等の端末等
(ア) 執務室等に職員等がいない場合は、執務室等の施錠等による盗難防止のための措置を施さなければならない。
(イ) 情報システムの執務室等の端末については、盗難防止のためのワイヤーによる固定等、盗難防止のための物理的措置を施さなければならない。また、配線等から放射される電磁波により重要な情報資産が外部に漏洩することがないよう措置しなければならない。
5 人的セキュリティ
(1) 役割・責任
ア 最高情報統括責任者(CIO)
大空町副町長を、大空町におけるすべてのネットワーク、情報システム、情報資産及び情報セキュリティに関する最終決定権限及び責任を有する最高責任者(CIO:最高情報統括責任者)とする。
イ ネットワーク管理者
(ア) 大空町職員のうち、情報通信ネットワーク技術に関する高度な専門的知識と高い公務員倫理を有する者(総務課長)を、最高情報統括責任者直属のネットワーク管理者とする。
ネットワーク管理者は、最高情報統括責任者を補佐しなければならない。
(イ) ネットワーク管理者は、大空町のすべてのネットワークにおける開発、設定の変更、運用、更新等を行う権限及び責任を有する。
(ウ) ネットワーク管理者は、大空町のすべてのネットワークにおける情報セキュリティに関する権限及び責任を有する。
(エ) ネットワーク管理者は、統括情報セキュリティ担当者、情報セキュリティ担当者、情報システム管理者及び情報システム担当者に対して情報セキュリティに関する指導及び助言を行う権限を有する。
(オ) ネットワーク管理者は、大空町の情報資産に対する侵害又は侵害のおそれのある場合には、最高情報統括責任者の指示に従い、最高情報統括責任者が不在の場合には自らの判断に基づき必要かつ十分な全ての措置を行う権限及び責任を有する。
この場合、すべての職員等はネットワーク管理者の指示に従わなければならない。
(カ) ネットワーク管理者は、大空町のすべてのネットワーク、情報システム及び情報資産に関する情報セキュリティ実施手順の維持・管理を行い、緊急時対応計画に基づく訓練を実施する。
ウ 統括情報セキュリティ担当者
(ア) 総務課長を、情報セキュリティに関する総括的な権限及び責任を有する統括情報セキュリティ担当者とする。
(イ) 統括情報セキュリティ担当者は、情報セキュリティに関する統括的な権限及び責任を有する。
(ウ) 統括情報セキュリティ担当者は、情報システムの追加・変更の承認等を行う。
(エ) 統括情報セキュリティ担当者は、情報システムの連絡体制の構築並びに情報セキュリティポリシーの遵守に関する意見の集約及び職員等に対する教育、訓練、助言及び指示を行う。
エ 情報セキュリティ担当者
(ア) 各課長、事務局長、分署長、監査委員を、その所管組織の情報セキュリティに関する権限及び責任を有する情報セキュリティ担当者とする。
(イ) 情報セキュリティ担当者は、統括情報セキュリティ担当者の下、所管組織内における情報セキュリティポリシーの遵守に関する権限と責任を有する。
(ウ) 情報セキュリティ担当者は、所掌に属する課室等における情報資産に対する侵害又は侵害のおそれのある場合には、最高情報統括責任者及びネットワーク管理者へ速やかに報告を行い、指示を仰がなければならない。
この場合、最高情報統括責任者及びネットワーク管理者に報告した後、速やかに統括情報セキュリティ担当者に報告しなければならない。
オ 情報システム管理者
(ア) 各情報システムの担当課長、事務局長、分署長、監査委員を当該情報システムに関する情報システム管理者とする。
(イ) 情報システム管理者は、所管する情報システムにおける開発、設定の変更、運用、更新等を行う権限及び責任を有する。
(ウ) 情報システム管理者は、情報システムにおける情報セキュリティに関する権限及び責任を有する。
(エ) 情報システム管理者は、担当する情報システムに係る情報セキュリティ実施手順の維持・管理を行う。
カ 情報システム担当者
情報システム担当者は、担当する情報システムに関して、情報システム管理者の指示等に従い、開発、設定の変更、運用、更新等の作業を行う。
キ 庁内OA専門委員会
大空町の情報セキュリティの維持管理を統一的な視点で行うため、庁内OA専門委員会において、情報セキュリティポリシー、情報セキュリティ実施手順等の策定など、情報セキュリティに関する重要な事項を審議する。
また、庁内OA専門委員会は、情報セキュリティに対する意識を醸成し保つために、幹部をはじめとしたすべての職員等が情報セキュリティの重要性を認識し、ポリシーを理解し実践するために必要な教育・訓練等を計画的に実施する。
特に、緊急時対応計画の策定及び見直しを行い、ネットワーク管理者に緊急時対応計画に基づく訓練を実施させ、実際に情報資産の漏洩等の事故が発生した場合に即応できるように体制を整えなければならない。
ク 職員
(ア) 情報セキュリティ対策の遵守義務
すべての職員は、情報セキュリティポリシー及び職員向け実施手順に定められている事項を遵守しなければならない。
情報セキュリティ対策について不明な点、遵守することが困難な点等については、速やかに情報セキュリティ担当者に相談し、指示等を仰がなければならない。
(イ) その他
・すべての職員は、使用する端末や記録媒体について、第三者に使用されること、又は許可なく情報資産を閲覧されることがないように、適切な措置を施さなければならない。
・すべての職員は、情報セキュリティ担当者の許可を得ず、端末等を執務室外に持ち出してはならない。
・すべての職員は、異動、退職等により業務を離れる場合には、知り得た情報資産を秘匿しなければならない。
ケ 非常勤及び会計年度任用職員等
(ア) 情報セキュリティ対策の遵守義務
・すべての非常勤及び会計年度任用職員等は、情報セキュリティポリシー及び職員向け実施手順に定められている事項を遵守しなければならない。
・情報セキュリティ対策について不明な点、遵守することが困難な点等については、速やかに情報セキュリティ担当者に相談し、指示等を仰がなければならない。
(イ) 非常勤及び会計年度任用職員等の雇用及び契約
・非常勤及び会計年度任用職員等に端末による作業を行わせる場合においては、インターネットへの接続及び庁内LANのメールの使用が不要の場合には、情報システム担当者はこれを利用できないように設定しなければならない。
(ウ) その他
・すべての非常勤及び会計年度任用職員等は、使用する端末や記録媒体について、第三者に使用されること又は許可なく情報資産を閲覧されることがないように、適切な措置を施さなければならない。
・すべての非常勤及び会計年度任用職員等は、情報セキュリティ担当者の許可を得ず、端末等を執務室外に持ち出してはならない。
・すべての非常勤及び会計年度任用職員等は、異動、退職等により業務を離れる場合には、知り得た情報資産を秘匿しなければならない。
コ 外部委託に関する管理
(ア) ネットワーク及び情報システムの開発・保守を外部委託事業者に発注する場合は、外部委託事業者から再委託を受ける事業者も含めて、下記事項を明記した契約を締結しなければならない。
・情報セキュリティポリシー及び情報セキュリティ実施手順の遵守
・業務上知り得た情報の守秘義務
・提供された情報の目的外利用及び受託者以外の者への提供の禁止
・提供された情報の返還義務
・大空町に対する報告義務
・大空町による定期的な報告徴収、監査・検査の実施
・従業員に対する教育の実施
・情報セキュリティポリシー遵守のために構築する体制
・情報セキュリティポリシーが遵守されなかった場合の規定(損害賠償等)
特に、重要性分類Ⅰ以上の情報資産に関しては、情報システムにおける取扱いのみでなく、データバックアップのための外部施設等への搬送時においても盗難、不正コピー等の防止を厳重に実施する旨を契約書に明記しなければならない。
(2) 教育・訓練
ア 最高情報統括責任者は、説明会の実施等により幹部を含めすべての職員等及び関係する者に対し情報セキュリティポリシーについて啓発しなければならない。また、新規採用の職員等を対象とする情報セキュリティポリシーに関する研修を設けなければならない。
情報セキュリティポリシーに関する教育・訓練プログラムは、庁内OA専門委員会で承認されたのものを使用する。
また、最高情報統括責任者は、一般職員とは別に、ネットワーク管理者、統括情報セキュリティ担当者、情報セキュリティ担当者、情報システム管理者及び情報システム担当者に対して、それぞれの役割、情報セキュリティに関する理解度等に応じた研修を実施しなければならない。
イ ネットワーク管理者は、最新の技術力を維持するための研修を常に受けなければならない。
ネットワーク管理者は、緊急時対応を想定した訓練を職員等に計画的に行わせなければならない。訓練の計画に当たっては、ネットワーク及び各情報システムの規模等を考慮し、訓練実施の範囲等を適宜定めることとする。また、より効果的に実施できるよう計画を立てることとする。
ウ 情報システム管理者及び情報システム担当者は、情報システムに関する研修を受けなければならない。
エ 職員等は、定められた研修に参加し情報セキュリティポリシー及び実施手順を理解し、情報セキュリティ上の問題が生じないようにしなければならない。
(3) 事故、欠陥に対する報告
ア 職員等は、情報セキュリティに関する事故、システム上の欠陥及び誤動作を発見した場合には、速やかに最高情報統括責任者及び統括情報セキュリティ担当者に様式第1号により報告し、ネットワーク管理者の指示に従い必要な措置を講じなければならない。
イ 職員等は、大空町が管理するネットワーク及び情報システムに関する事故、欠陥に関する住民からの報告・連絡を受けた場合には、速やかに最高情報統括責任者及び統括情報セキュリティ担当者に様式第2号により報告し、ネットワーク管理者の指示に従い必要な措置を講じなければならない。
ウ ネットワーク管理者は、これらの事故等を分析し、再発防止のための情報資産として記録を様式第3号により保存しなければならない。
(4) アクセスのための認証情報及びパスワードの管理
ア ICカードの管理
職員等は、自己の管理するICカードに関し、次の事項を遵守しなければならない。
・ICカード等の認証に用いるカード類は、職員等間で共有してはならない。
・ICカード等は、カードリーダ又は端末のスロット等に常時挿入してはならない。
・職員等はICカード等を紛失した場合には、速やかにネットワーク管理者及び情報システム管理者に通報し、指示を仰がなければならない。
・ネットワーク管理者及び情報システム管理者は通報があり次第速やかに当該ICカード等を使用したアクセス等を停止しなければならない。
イ ログインキーの管理
職員等は、自己の管理するログインキーに関し、次の事項を遵守しなければならない。
・ネットワークへ参加するために用いるログインキーは、職員等間で共有してはならない。
・ログインキーは、端末から席を離れる場合や、退庁する場合にはスロット等から抜取りしなければならない。
・職員等はログインキーを紛失した場合には、速やかにネットワーク管理者及び情報システム管理者に通報し、指示を仰がなければならない。
・ネットワーク管理者及び情報システム管理者は通報があり次第速やかに当該ログインキーを使用したアクセス等を停止しなければならない。
ウ パスワードの管理
職員等は、自己の管理するパスワードに関し、次の事項を遵守しなければならない。
・パスワードを秘密にし、パスワードの照会等には一切応じないこと。
・パスワードのメモを作らないこと。
・パスワードの長さは十分な長さとし、文字列は想像しにくいものとすること。
・情報システム又はパスワードに対する危険のおそれがある場合には、速やかにパスワードを変更すること。
・端末にパスワードを記憶させないこと。
・職員等間でパスワードを共有しないこと。
6 技術的セキュリティ
(1) ネットワーク、情報システム及び情報資産の管理
情報資産の重要性分類に従ってネットワーク、情報システム及び情報資産を以下のとおり管理する。
ア Ⅰ及びⅡ
・ネットワーク管理者及びシステム管理者は、アクセス記録及び情報セキュリティの確保に必要な記録を全て取得し、盗難、改ざん、消去等を防止する措置を施した上で一定期間保存しなければならない。また、定期的にそれらを分析、監視しなければならない。
・ネットワーク管理者及び情報システム管理者は、ネットワーク構成図、情報システム仕様書等に関し、記録媒体の形態にかかわりなく適切な保管をしなければならない。
・緊急時に直ちに対処できるようにするため、最高情報統括責任者が定めた特に重要な情報システムは、RAIDコントロールにより常時バックアップしなければならない。
・情報システム管理者は、情報システムのミラーリング等にかかわりなく情報資産の重要度に応じて期間を設定し、定期的に情報資産のバックアップ用の複製を取らなければならない。
・ネットワーク管理者は、職員等が送信等により情報資産を外部に持ち出すことが不可能となるように、システム上制限しなければならない。
・情報システム管理者は、閲覧権限がない職員等が所管するシステムにアクセスすることが不可能となるように、システム上制限しなければならない。
・汎用受付システム等、外部の者が利用できるシステムにおいては、必要に応じ他のネットワーク及び情報システムと物理的に分ける等、情報セキュリティ対策について特に強固に対策をとらなければならない。
イ Ⅲ及びⅣ
・原則、重要性分類Ⅱ以上に分類される情報資産の管理に準拠するが、重要性分類Ⅲ以下の情報資産は公開を前提としているため、この範囲において基準を緩和することができる。ただし、Webサイトにより情報を公開・提供する場合には、当該サイトに係るシステムにおいて盗難、改ざん、消去、踏み台、DoS等を防止しなければならない。また、メールシステム等においても、他のシステムに対する攻撃の踏み台とならないように適切な管理を実施しなければならない。
(2) ネットワーク及び情報システムを使用する際の規定
ア 業務目的以外の使用の原則禁止
職員等によるネットワーク及び情報システム資源の使用は、業務目的に沿ったもののみが許可される。業務目的以外での情報システムへのアクセス、メールアドレスの使用及びインターネットへのアクセスを行ってはならない。
イ 情報資産の持ち出し及びインターネット等による情報資産の送信禁止
職員等は、重要性分類上Ⅱ以上に該当する情報資産を取り扱う場合、下記の行為を行ってはならない。特に、重要性分類Ⅱ以上に該当する情報資産のインターネットへの自動転送は厳禁する。ただし、情報資産のバックアップ等、合理的理由のある場合、かつ最高情報統括責任者の事前の了解を得た場合に限り、庁舎外への持ち出し又は庁外との送受信ができるものとする。
・庁外への持ち出し
・インターネット等による庁外との送受信
・個人の所有する情報が記録された媒体の管理区域への持ち込み
ウ 無許可ソフトウエアの導入の禁止
職員等は、各自に供用された端末等に対して、最高情報統括責任者が定める以外のソフトウエアの導入を行ってはならない。特にネットワーク上の情報資産を盗聴するような監視ソフトウエアやインターネットを通じてファイル交換を行うソフト、ネットワークの状態を探索するセキュリティ関連のソフトウエア及びハッキングソフトウエアの使用は厳禁し、導入又は使用した職員等は地方公務員法(昭和25年法律第261号)による懲戒処分の対象とする。ただし、業務を円滑に遂行するために必要なソフトウエアについては、合理的理由のある場合、かつネットワーク管理者及び情報システム管理者の事前の了解を得た場合に限り、利用することができる。
エ 機器構成の変更の禁止
職員等は、各自に供用された端末等に対して機器の増設又は改造を行ってはならない。特にモデム等の機器を増設して他の環境(インターネット等)へのネットワーク接続を行うことや、庁外からのアクセスを可能とする仕組みを構築した職員等は地方公務員法による懲戒処分の対象とする。ただし、業務を円滑に遂行するための合理的理由がある場合、かつネットワーク管理者及び情報システム管理者の事前の了解を得た場合に限り、機器の増設又は変更を行うことができる。
オ 情報及びソフトウエアの交換
組織間において、情報システムに関する情報及びソフトウエアを交換する場合は、その取扱いに関する事項をあらかじめ定め、ネットワーク管理者及び統括情報セキュリティ担当者の許可を得なければならない。
カ メール
・メールの容量は無制限とする。
・職員等が使用できるメールボックスの容量は100MBを上限とし、100MBを超えた場合には職員等が自らメールを削除し、メールの総量が100MB未満になるまで一時的にメールの使用を停止するような設定を施さなければならない。
キ 文書サーバ
・文書サーバは部局単位で構成し、住民の個人情報、人事記録等特定の職員等しか取り扱えないデータについては、保存しないこととするかパスワードを付す等により措置を講じなければならない。
ク 情報システムの入出力データ
・情報システムに入力されるデータは、適切なチェック等を行い、それが正確であることを確実にするための対策を施さなければならない。
・エラー又は故意の行為により情報が改ざんされるおそれがある場合、これを検出する手段を講じなければならない。
また、改ざんの有無を検出し、必要な場合は情報の修復を行う手段を講じなければならない。
・情報システムから出力されるデータは、保存された情報の処理が正しく反映され、出力されることを確保しなければならない。
ケ その他
職員等が利用できるプロトコルは、業務上必要最低限のものとする。
(3) アクセス制御
ア 利用者登録
ネットワーク管理者及び情報システム管理者は、利用者の登録、変更、抹消、登録した情報資産の管理、異動や大空町外への出向等の職員等及び退職者における利用者IDの取扱い等については、定められた方法に従って行わなければならない。
必要な利用者登録・変更は、ネットワーク管理者又は情報システム管理者が行う。
イ 管理者権限
(ア) ネットワークの管理者権限は、必要最低限の者に与え厳重に管理しなければならない。
ネットワーク管理者の権限を代行する者は、ネットワーク管理者が指名し、最高情報統括責任者が認めた者でなければならない。代行者を認めた場合、最高情報統括責任者は速やかに統括情報セキュリティ担当者、情報セキュリティ担当者及び情報システム管理者に周知しなければならない。
(イ) 情報システムの管理者権限は、必要最低限の者に与え厳重に管理しなければならない。
情報システム管理者の権限を代行する者は、情報システム管理者が指名し、最高情報統括責任者が認めた者でなければならない。代行者を認めた場合、最高情報統括責任者は速やかにネットワーク管理者、統括情報セキュリティ担当者及び情報セキュリティ担当者に周知しなければならない。
ウ インターネット以外のネットワークにおけるアクセス制御
ネットワーク管理者は、アクセス可能なネットワーク又はネットワーク上のサービスごとにアクセスできる者を定めなければならない。
ネットワーク管理者及び情報システム管理者は、ネットワークサービスを使用する権限を有しない職員等が当該サービスを使用できるようにしてはならない。
エ 強制的な経路制御
ネットワーク管理者は、不正アクセスを防止するため、適切なネットワーク経路制御を施さなければならない。
オ 外部からのアクセス
(ア) 外部からのアクセスの許可は、必要最低限にしなければならない。
外部からのアクセスを認める場合には、内部のネットワーク及び情報システムとの間にIPリーチャビリティが発生しないように機器を構成しなければならない。
アクセス方法及び使用方法等は、利用者の真正性の確保が確定できるものでなければならない。
カ 総合行政ネットワーク及び住民基本台帳ネットワークシステムとの接続
総合行政ネットワーク及び住民基本台帳ネットワークシステムについては、当該接続において取り扱う情報資産の重要性を考慮し、物理的に分離することとし、接続する場合は、適切なアクセス制御を実施する。
キ 外部ネットワークとの接続
(ア) 外部ネットワークとの接続に当たり、当該外部ネットワークのネットワーク構成、機器構成、セキュリティレベル等を詳細に検討し、大空町のすべてのネットワーク、情報システム及び情報資産に影響が生じないと明確に確認した上で、最高情報統括責任者及びネットワーク管理者の許可に基づき接続しなければならない。
その利用はネットワーク管理者の適切な管理下で行い、接続に際しては情報セキュリティに留意したネットワーク構成を採らなければならない。
この場合、当該外部ネットワークの瑕疵により大空町のデータの漏洩、破壊、改ざん又はシステムダウン等による業務への影響が生じた場合に対処するため、当該外部ネットワークの管理責任者による損害賠償責任を契約上担保しなければならない。
(イ) 接続した外部ネットワークのセキュリティに問題が認められ、大空町の情報資産に脅威が生じることが想定される場合には、ネットワーク管理者の判断に従い速やかに当該外部ネットワークを物理的に遮断しなければならない。
ク 自動識別
大空町で使用されるネットワーク機器については、機器固有情報によってアクセスの可否を自動的に判別しなければならない。
ケ ログイン手順
ログイン手順中におけるメッセージ及びログイン試行回数の制限、アクセスタイムアウトの設定、ログイン・ログアウト時刻の表示等、正当なアクセス権を持つ職員等がログインしたことを確認することができる手順を定めなければならない。
コ パスワードの管理方法
(ア) ネットワーク管理者又は情報システム管理者は、職員等のパスワードに関する情報を厳重に管理しなければならない。
(イ) ネットワーク管理者又は情報システム管理者は、パスワードの変更を行わない職員等にパスワードを変更する旨勧告し、当該職員等が勧告に従わない場合には速やかに当該職員等のアクセス権を一定期間経過後に停止しなければならない。
(ウ) ネットワーク管理者又は情報システム管理者は、当該職員等からパスワード変更の申告があり次第当該職員等のアクセス権の停止を解除するものとする。
(エ) ネットワーク管理者及び情報システム管理者は、職員等のパスワードについて、定期的にその妥当性について調査を行わなければならない。
(オ) ネットワーク管理者及び情報システム管理者は第三者に読まれることのないよう、暗号化等パスワードを扱う方法を定めなければならない。
サ 接続時間の制限
管理者権限によるネットワーク及び情報システムへの接続については、必要最小限の接続時間に制限しなければならない。
(4) システム開発、導入、保守等
ア 情報システムの調達
(ア) 最高情報統括責任者は応用ソフトウエアの開発、変更及び運用についての手順及び基準を明らかにしなければならない。
(イ) 最高情報統括責任者は機器及び基本ソフトウエアの導入、保守及び撤去についての手順及び基準を明らかにしなければならない。
(ウ) ネットワーク管理者及び情報システム管理者は、情報システムの調達に当たっては、一般に公開する調達仕様書が情報セキュリティ確保の上で問題のないようにしなければならない。
(エ) ネットワーク管理者及び情報システム管理者は、機器及びソフトウエアを購入等する場合は、庁内OA専門委員会に諮問し、当該製品が情報セキュリティ上問題にならないかどうか、確認しなければならない。
イ ネットワーク及び情報システムの更新
ネットワーク管理者及び情報システム管理者は、ネットワーク及び情報システムを更新するに当たり、更新の内容、必要性、計画等を文書にて最高情報統括責任者に提出し承認を得なければならない。ネットワーク及びシステムの移行は、擬似環境による動作確認後に行わなければならない。移行の際にはシステムに記録されている情報資産の保存を確実に行い、復帰が即座に可能な状態にしておき、原則として執務時間外に行わなければならない。また、作業を行う際には、職員立会いの下確認しながら実施するとともに、作業内容を記録しなければならない。
ウ 情報システムの開発及び導入
(ア) 最高情報統括責任者はシステム開発及び保守時の事故・不正行為対策のため、次の事項を定めなければならない。
・責任者及び監督者
・作業者及び作業範囲
・システム開発及び保守等の事故・不正行為に係るリスク分析
・開発・保守するシステムと運用システムとの分離
・開発・保守に関するソースコードの提出
・開発・保守の際のセキュリティ上問題となり得るおそれのあるOS、ミドルウエア及びアプリケーションソフトの使用禁止
・開発・保守の際のアクセス制限
・機器の搬出入の際の、情報システム管理者の許可及び確認
・開発・保守記録の提出義務
・マニュアル等の定められた場所への保管
・開発・保守を行った者の利用者ID、パスワード等の当該開発・保守終了後に不要となった時点での速やかな抹消
・守秘義務
・再委託管理
(イ) 情報システム管理者はシステム開発及び保守時の事故・不正行為対策のため、次の事項を実施しなければならない。
・責任者及び監督者
・作業者及び作業範囲
・システム開発及び保守等の事故・不正行為に係るリスク分析
・開発・保守するシステムと運用システムとの分離
・開発・保守に関するソースコードの提出
・開発・保守の際のセキュリティ上問題となり得るおそれのあるOS、ミドルウエア及びアプリケーションソフトの使用禁止
・開発・保守の際のアクセス制限
・機器の搬出入の際の、情報システム管理者の許可及び確認
・開発・保守記録の提出義務
・マニュアル等の定められた場所への保管
・開発・保守を行った者の利用者ID、パスワード等の当該開発・保守終了後に不要となった時点での速やかな抹消
・守秘義務
・再委託管理
エ システムの導入
(ア) 情報システム管理者は、新たにシステムを導入する際には、既に稼働しているシステムに接続する前に十分な試験を行わなければならない。
(イ) 情報システム管理者は、試験に使用したデータ及びその結果を最高情報統括責任者及びネットワーク管理者へ提出するとともに厳重に保管しなければならない。
オ ソフトウエアの保守及び更新
ソフトウエア(独自開発ソフトウエア及び汎用ソフトウエア)等を更新又は修正プログラムを導入する場合は、不具合及び他のシステムとの相性の確認を行い、計画的に更新し、又は導入しなければならない。
情報システム管理者は、情報セキュリティに重大な影響を及ぼす不具合に対する修正プログラムについて、速やかな対応を行うこととし、その他のソフトウエアの更新等については、計画的に実施しなければならない。
カ システムの受託事業者への規定
(ア) 新たなシステムの開発を外部の事業者に委託する場合は、ソースコードの提出を求め、再委託契約を行う際には再委託先について経営状況等、契約履行が可能であるか確認を取り、再委託の許可を契約に定めなければならない。
(イ) 信頼のおける事業者に委託するために、必要な資格等を定めなければならない。
(ウ) 情報システム管理者は、作業中に顔写真付き身分証明書の提示を事業者に求め、契約で定められた資格を有するものが作業に従事しているか確認を行わなければならない。
また、守秘のための契約を事業者と結ばなければならない。
キ 機器の修理及び廃棄
(ア) 記憶媒体の含まれる機器について、外部の事業者に修理させ又は廃棄する場合は、その内容が消去された状態で行わなければならない。
(イ) 故障を外部の事業者に修理させる際、情報資産を消去することが難しい場合は、修理を委託する事業者に対し秘密を守ることを契約に定めなければならない。また重要な機器については、復元不可能な廃棄を行わなければならない。
ク 管理記録
ネットワーク管理者及び情報システム管理者は、担当するシステムにおいて行ったシステム変更等の作業については、記録を作成し適切に管理を行わなければならない。
(5) コンピュータウイルス、スパイウエアー対策
ア 無許可ソフトウエアの導入は禁止する。
イ 外部ネットワークから情報又はソフトウエアを取り入れる際には、FWの前段階でウイルスチェックを行うとともに、サーバ側、端末側においてもウイルスチェックを行わなければならない。
ウ 外部のネットワークへ情報又はソフトウエアを送信する際にもFWの前段階でウイルスチェックを行い外部へウイルスが拡散することを未然に防止しなければならない。
エ ネットワーク管理者は、次の事項を実施しなければならない。
・ウイルス、スパイウエアー情報について職員等に対する注意喚起を行うこと。
・常時ウイルスに関する情報収集に努めること。
・サーバ及び端末において、ウイルスチェックを行うこと。
・ウイルスチェック用のパターンファイルは常に最新のものに保つこと。
オ 情報システム管理者は、次の事項を実施しなければならない。
・サーバ及び端末において、ウイルス及びスパイウエアーチェックを行うこと。
・ウイルスチェック用のパターンファイルは常に最新のものに保つこと。
カ 職員等は、次の事項を遵守しなければならない。
・外部からデータ又はソフトウエアを取り入れる場合には、必ずウイルスチェックを行うこと。
・差出人が不明又は不自然に添付されたファイルは速やかに削除すること。
・ウイルスチェックの実行を途中で止めないこと。
・ネットワーク管理者が提供するウイルス情報を常に確認すること。
・添付ファイルのあるメールを送受信する場合は、ウイルスチェックを行うこと。
・ウイルスに感染した場合は、即時にネットワークから切断すること。
キ ネットワーク管理者及び情報システム管理者は、職員等から報告のあった情報、システムの障害に対する処理又は問題等は障害記録として体系的に記録し、常に活用できるよう保存しなければならない。
(6) 不正アクセス対策
ア ネットワーク管理者は、次の事項を実施しなければならない。
・使用終了又は使用される予定のないポートを長時間空けた状態のままにしてはならない。
再インストールのためのシステム停止は執務時間外とする。
・セキュリティホールの発見に努め、メーカー等からパッチの提供があり次第速やかにパッチを当てなければならない。
・不正アクセスによるウェブページ書換防止を確実にするために、担当職員等によるものであるか否かにかかわりなくデータの書換を検出し、ネットワーク管理者及び情報システム管理者へ通報する設定を施さなければならない。
・重要なシステムの設定に係るファイル等について、定期的に当該ファイルの改ざんの有無を検査すること。
イ 攻撃を受けることが明確な場合には、ネットワーク管理者はシステムの停止を含む必要な措置を講じなければならない。
また、関係機関との連絡を密にして情報の収集に努めなければならない。
ウ 攻撃を受け、当該攻撃が不正アクセス行為の禁止等に関する法律(平成11年法律第128号)違反等犯罪の可能性がある場合には記録の保存に努めるとともに、警察・関係機関との緊密な連携に努めなければならない。
エ 攻撃の可能性が明確であるにもかかわらず職員等の怠惰が原因でデータの漏洩、破壊、改ざん又はシステムダウン等により行政業務に深刻な影響をもたらした場合、当該職員等を地方公務員法による懲戒の対象とする。
オ 職員等による不正アクセスがあった場合、ネットワーク管理者又は情報システム管理者は当該職員等が所属する課室等の情報セキュリティ担当者に通知し、適切な処置を求めなければならない。
職員等による不正アクセスの結果、データの漏洩、破壊、改ざん又はシステムダウン等により行政業務に深刻な影響をもたらした場合、当該職員等を地方公務員法による懲戒の対象とし、悪質な場合には刑事告発の対象とする。
(7) セキュリティ情報の収集
(ア) ネットワーク管理者は、情報セキュリティに関する情報を収集し、大空町のすべてのネットワーク及び情報システムについてソフトウエアにパッチを当てる等、セキュリティ対策上必要な措置を講じなければならない。
(イ) 最高情報統括責任者は、これらの情報を定期的に取りまとめ、関係部局等に通知するとともに、情報セキュリティポリシーの改定につながる情報については庁内OA専門委員会に報告しなければならない。
(ウ) ネットワーク管理者は、緊急時対応計画に定める緊急に連絡すべき情報を入手した場合は当該計画に定める情報連絡先に連絡しなければならない。
7 運用
(1) 情報システムの監視
(ア) セキュリティに関する事案を検知するため、ネットワーク管理者及び情報システム管理者は、常に情報システムの監視を行わなければならない。
(イ) 外部と常時接続するシステムについては、時間監視を行わなければならない。
(ウ) 内部のシステムについて、アクセスコントロール等を行い、異常な運用等の監視を行わなければならない。
(エ) 監視により得られた結果については、盗難、改ざん、消去等を防止するために必要な措置を施し、安全な場所に保管しなければならない。また、これらの記録の正確性を確保するため、正確な時刻の設定を行わなければならない。
(2) 情報セキュリティポリシーの遵守状況の確認
(ア) 統括情報セキュリティ担当者及び情報セキュリティ担当者は、情報セキュリティポリシーが遵守されているかどうかについて、また、問題が発生していないかについて常に確認を行い問題が発生していた場合には速やかに最高情報統括責任者及びネットワーク管理者に報告しなければならない。
(イ) 最高情報統括責任者は速やかに発生した問題に適切に対処しなければならない。
(ウ) 職員等は、情報セキュリティポリシーの違反が発生した場合は、直ちにネットワーク管理者及び情報セキュリティ担当者に報告を行わなければならない。違反の発生時には、それが直ちに情報セキュリティ上重大な影響を及ぼす可能性があるとネットワーク管理者が判断した場合は、緊急時対応計画に従って連絡を行わなければならない。
(エ) ネットワーク管理者及び情報システム管理者は、サーバ等のシステム設定が情報セキュリティポリシーを遵守しているかどうかについて、また問題が発生していないかについて定期的に確認を行い、問題が発生していた場合には速やかに適切に対処しなければならない。
(3) 運用管理における留意点
(ア) 最高情報統括責任者は、アクセス記録、メール等個人のプライバシーに係る情報を閲覧できる権限を有する職員を情報セキュリティ実施手順に定めなければならない。ただし、法令で定められた個人情報の保護に関係する情報の閲覧に関しては、当該法令に定められた手続に従う。
(イ) 情報セキュリティ担当者は、職員等が常に情報セキュリティポリシー及び実施手順を参照できるよう配慮しなければならない。
(4) 侵害時の対応
情報資産への侵害が発生した場合における連絡、証拠保全、被害拡大の防止、復旧等の必要な措置を迅速かつ円滑に実施し、再発防止の措置を講じるために、緊急時対応計画を次のとおり定める。
ア 連絡先
具体的には、各情報システムごとに情報セキュリティ実施手順に明記する。
・大空町長
・最高情報統括責任者
・ネットワーク管理者
・情報システム管理者
・ネットワーク及び情報システムに係る外部委託事業者
・北海道総合企画部情報政策課
・北海道警察北見方面網走警察署生活安全課
・関係機関
・影響が考えられる個人及び法人
イ 事案の調査
セキュリティに関する事案を認めた者は、次の項目について、速やかにネットワーク管理者に報告しなければならない。
・症状の分類
・事案が発生した原因として、想定される行為
・確認した被害・影響範囲
・記録
ネットワーク管理者は、事案の詳細な調査を行うとともに、最高情報統括責任者との情報共有及び庁内OA専門委員会への報告を行わなければならない。
ウ 事案への対処
ネットワーク管理者は、事案に対処するために次の項目を実施しなければならない。
(ア) ネットワーク管理者は、次の事案が発生した場合、それぞれ定められた連絡先へ連絡しなければならない。
・サイバーテロその他の町民に重大な被害が生じるおそれがあるとき(大空町長、最高情報統括責任者、警察、影響が考えられる個人及び法人)。
・不正アクセスその他犯罪と思慮されるとき(大空町長、最高情報統括責任者、警察)。
・踏み台となって他者に被害を与えるおそれがあるとき(大空町長、最高情報統括責任者、警察)。
・情報システムに関する被害(情報システム管理者、必要と認められる事業者等)
・その他情報資産に係る被害(関係部局等)
(イ) ネットワーク管理者は、次の事案が発生し情報資産の防護のためにネットワークの切断がやむを得ない場合は、ネットワークを切断する措置を講ずる。
・異常なアクセスが継続しているとき、又は不正アクセスが判明したとき。
・システムの運用に著しい支障を来す攻撃が継続しているとき。
・コンピュータウイルス等不正プログラムがネットワーク経由で拡がっているとき。
・情報資産に係る重大な被害が想定されるとき。
(ウ) 情報システム管理者は、次の事案が発生し情報資産の防護のために情報システムの停止がやむを得ない場合は、情報システムを停止する。
・コンピュータウイルス等不正プログラムが情報資産に深刻な被害を及ぼしているとき。
・災害等により電源を供給することが危険又は困難なとき。
・その他の情報資産に係る重大な被害が想定されるとき。
(エ) 個々の端末のネットワークからの切断については、ネットワーク管理者の許可が必要である。ただし、情報資産の被害の拡大を直ちに停止させる必要がある場合には、事後報告とすることができる。
(オ) 事案に係るシステムのアクセス記録及び現状を保存する。
(カ) 事案に対処した経過を記録する。
(キ) 事案に係る証拠保全の実施を完了するとともに、再発防止の暫定措置を検討する。
(ク) 再発防止の暫定措置を講じた後、復旧する。
(ケ) 復旧後、必要と認められる期間、再発監視を行う。
エ 再発防止の措置
(ア) ネットワーク管理者は、当該事案に係るリスク分析を実施し、情報セキュリティポリシー及び実施手順の改善に係る再発防止計画を策定し、庁内OA専門委員会へ報告しなければならない。
庁内OA専門委員会は、情報セキュリティポリシー及び実施手順の改善に係る再発防止計画が有効であると認められる場合は、これを承認する。
(イ) ネットワーク管理者は、各種セキュリティ対策の改善に係る再発防止計画を策定し、最高情報統括責任者へ報告しなければならない。最高情報統括責任者は、これらの再発防止計画が有効であると認められる場合は、これを承認し、事案の概要と併せ職員等に周知しなければならない。
オ 外部委託による運用契約
運用を外部委託する場合は、委託に関する責任を有する部署を明確にするとともに、外部委託事業者に対し必要なセキュリティ要件を記載した契約書による契約を締結しなければならない。
委託に関する責任を有する部署は、委託先において必要なセキュリティ対策が確保されていることを確認し、その内容をネットワーク管理者に報告するとともに、その重要度に応じて最高情報統括責任者に報告しなければならない。
8 法令遵守
職員等は、職務の遂行において使用する情報資産について、次の法令等を遵守しこれに従わなければならない。
・不正アクセス行為の禁止等に関する法律
・著作権法(昭和45年法律第48号)
・個人情報の保護に関する法律(平成15年法律第57号)
9 情報セキュリティに関する違反に対する対応
情報セキュリティポリシーに違反した職員等及びその監督責任者に対しては、その重大性、発生した事案の状況等に応じて地方公務員法による懲戒処分の対象とする。
なお、職員等に情報セキュリティポリシーに違反する行動がみられた場合には、速やかに次の措置を講じなければならない。
・ネットワーク管理者が違反を確認した場合は、ネットワーク管理者は当該職員等が所属する課室等の情報セキュリティ担当者に通知し、適切な措置を求めなければならない。
・情報システム管理者等が違反を確認した場合は、違反を確認した者は速やかにネットワーク管理者及び当該職員等が所属する課室等の情報セキュリティ担当者に通知し、適切な措置を求めなければならない。
・情報セキュリティ担当者の指導によっても改善されない場合、ネットワーク管理者は、当該職員等のネットワーク又は情報システムの使用に関する権利を停止あるいは剥奪することができる。その後速やかに、ネットワーク管理者は、職員等の権利を停止あるいは剥奪した旨を最高情報統括責任者及び当該職員等が所属する課室等の情報セキュリティ担当者に通知しなければならない。
10 評価・見直し
(1) 監査
(ア) 庁内OA専門委員会は、ネットワーク及び情報システムの情報セキュリティについて監査を定期的に行わなければならない。
なお、ネットワーク管理者及び情報システム管理者は、監査とは別に所管するネットワーク及び情報システムについて点検を実施しなければならない。
監査を行う者は、十分な専門的知識を有する者でなければならない。
(イ) 外部委託業者に委託している場合は、内部監査版は外部委託業者から下請としている受託業者を含めて、情報セキュリティポリシーの遵守について監査を定期的に行わなければならない。
(ウ) 庁内OA専門委員会は監査結果を取りまとめ、結果を最高情報統括責任者及びネットワーク管理者に通知するとともに、情報セキュリティポリシーの更新の際に参照する情報資産として活用しなければならない。
(2) 点検
統括情報セキュリティ担当者は、情報セキュリティポリシーに沿った情報セキュリティ対策が実施されているかどうかについて職員等にアンケート等を行い、また自己点検を行わなければならない。統括情報セキュリティ担当者はこれを取りまとめ、庁内OA専門委員会に報告する。庁内OA専門委員会は、この報告結果を情報セキュリティポリシーの更新の際に参照する情報資産として活用することとする。
(3) 情報セキュリティポリシーの更新
新たに必要な対策が発生した場合又は監査の結果及び点検の結果を踏まえ、庁内OA専門委員会において情報セキュリティポリシーの実効性を評価し、必要な部分を見直し、内容、時期について決定を行う。この決定に基づき、情報セキュリティポリシーの更新を実施する。更新の内容については、庁内OA専門委員会が決定しなければならない。
附則
この要領は、平成18年3月31日から施行する。
附則(平成18年12月21日要領第34号)
この要領は、平成19年4月1日から施行する。
附則(平成22年6月22日要領第5号)
この要領は、平成22年7月1日から施行する。
附則(平成30年5月25日要領第2号)
この要領は、平成30年6月1日から施行する。
附則(令和3年5月10日要領第3号)
この要領は、令和3年5月10日から施行する。
附則(令和5年3月14日要領第1号)
この要領は、令和5年4月1日から施行する。
